AVAYA DOCUMENTATION CENTER
Find answers to your technical questions and learn how to use our products
Administration d'Avaya IP Office à l'aide de Manager
Présentation des certificats
La cryptographie à clé publique est l'une des méthodes de maintien d'un environnement de réseautage fiable. Un certificat de clé publique (également connu sous le nom de certificat numérique ou certificat d'identité) est un document électronique utilisé pour prouver le droit de propriété d'une clé publique. Le certificat comprend des informations relatives à la clé, à l'identité de son propriétaire, et à la signature numérique d'une entité qui a vérifié que le contenu du certificat est correct. Si la signature est valide et si la personne chargée d'examiner le certificat fait confiance au signataire, il sait qu'il peut utiliser cette clé pour communiquer avec son propriétaire.
Le système utilisé pour le chiffrement de la clé publique et pour les services de signature numérique est appelé infrastructure à clé publique (ICP). Tous les utilisateur d'une ICP doivent disposer d'une identité officielle enregistrée sous un format numérique et appelé Certificat d'identité. Les autorités de certification renvoient aux personnes, procédés et outils qui créent ces identités numériques et assignent des noms d'utilisateur aux clés publiques.
Il existe deux types d'autorités de certification (AC), les AC racines et les AC intermédiaires. Pour qu'un certificat soit approuvé et pour qu'une connexion sécurisée soit établie, ce certificat doit avoir été émis par une AC figurant dans le magasin de certificats approuvés du périphérique qui se connecte. Si le certificat n'a pas été émis par une AC approuvée, le périphérique qui se connecte vérifie alors si le certificat de l'AC émettrice a été émis par une AC approuvée, et ainsi de suite jusqu'à ce qu'une AC approuvée soit trouvée. Le magasin de certificats approuvés de chaque périphérique de l'ICP doit contenir les chaînes de certificat requises pour la validation.
Autorité de certification racine d'IP Office
IP Office génère un certificat auto-signé. Pour les systèmes IP500 V2, un certificat est automatiquement généré au premier démarrage. Sur les systèmes Linux, un certificat est généré au cours du processus d'initialisation.
Les entités suivantes peuvent jouer le rôle d'autorité de certification.
Le serveur principal Server Edition, un Application Server ou un Unified Communication Module (UCM) peut servir d'autorité de certification racine pour tous les nœuds du système.
Pour les déploiements Enterprise Branch, le System Manager peut jouer le rôle d'autorité de certification racine.
Les certificats d'identité peuvent également être achetés ou délivrés par une autorité de certification tierce.
Quelque soit la méthode utilisée pour fournir l'identité IP Office, l'autorité de certification qui signe le certificat d'identité IP Office doit être approuvée par tous les clients et points d'extrémité qui doivent établir une connexion sécurisée avec IP Office. Ils doivent faire partie de l'ICP. Par conséquent, le certificat de l'AC racine doit être téléchargé vers les périphériques clients et placé dans le magasin de certificats approuvés. S'il existe des AC intermédiaires dans la chaîne de certificats, soit les AC intermédiaires doivent être ajoutées au magasin de certificats approuvés du périphérique client, soit la chaîne de certificats doit être présentée par IP Office lors de l'échange TLS initial.
Certificats et TLS
La signalisation téléphonique, comme la messagerie SIP, est sécurisée à l'aide du protocole TLS (Transport Layer Security). TLS assure la sécurité des communications à l'aide de certificats pour authentifier l'autre extrémité de la liaison IP.
L'échange de messages en TLS vise à vérifier l'identité des parties communicantes et à établir les clés qui seront utilisées pour chiffrer les données de signalisation entre les deux parties. En règle générale, le serveur envoie au client son certificat d'identité soit auto-signé, soit signé par l'AC. Le client doit avoir le certificat de l'AC dans son magasin de certificats approuvés.
IP Office joue le rôle de serveur TLS dans ses interactions avec les clients de téléphonie SIP. Ceci signifie que l'application TLS sur IP Office doit être configurée pour écouter les connexions des clients en activant TLS dans le Registrar SIP sur les interfaces LAN1 et LAN2.
Remarque :
L'authentification du certificat du client par le serveur n'est pas obligatoire. IP Office ne prend pas en charge la validation des certificats client pour tous les types de point de terminaison SIP.
Le téléphone E.129 ne valide pas le certificat d'identité IP Office.